Des subventions pour sécuriser les codes Open Source

Quand l'Etat s'en mêle 46
Le ministère de l'intérieur américain compte financer deux sociétés et une université afin d'aider à la recherche de failles de sécurité dans les codes des logiciels Open Source. Le renforcement de la protection de ces codes Open Source pourrait bénéficier à la raison d'Etat, et les Usa ont donc été généreux dans le domaine.

1,24 millions de dollars au total

Les Etats-Unis débloqueront donc 1,24 million de dollars dans cette voie. C'est l'Université de Stanford qui se prendra la plus grosse part du magot, avec 841 276 dollars d'aides. Les USA ont aussi choisi deux sociétés à caractère commercial pour les reste des subventions.

Coverity aura la seconde part. Cette société spécialisée dans la recherche automatisée de failles logicielles recevra 297 000 dollars de subventions de la part de l'Etat américain. C'est ensuite le géant de la sécurité informatique grand public Symantec qui bénéficiera des 100 000 dollars restants, pour les destiner uniquement à la recherche sur les codes Open Source.

Un projet de sécurité nationale

Le programme « Vulnerability Discovery and Remediation, Open Source Hardening Project » est donc lancé. Stanford et Coverity vont construire et entretenir des systèmes automatisés de recherche de bugs et de failles de sécurité, qui examineront quotidiennement de nombreux codes destinés aux logiciels Open Source. Tous les problèmes trouvés seront mis à la disposition des développeurs.

Homeland Security

« Une grande partie de l'infrastructure informatique cruciale de notre nation est basée sur de l'Open Source, et elle n'est pas réellement vérifiée de manière automatique » explique à CNet le professeur de Stanford Dawson Engler, qui pointe ici du doigt la problématique centrale du projet. Symantec se chargera de la recherche classique de failles de sécurité, pour compléter les travaux de Coverity et Stanford.

Parmi les logiciels Open Source concernés, on retrouvera les poids lourds du secteur, tels que Apache, BIND, Ethereal, KDE, Linux, Firefox, FreeBSD, OpenBSD, OpenSSL et MySQL, selon Coverity.

Du commercial dans le gratuit

L'idée vient en fait de Coverity, qui a commencé à fournir ses services grâcieusement à la communauté Open Source, tout en vendant ses programmes de vérification automatique aux sociétés de logiciels commerciaux. Coverity espère à l'occasion pouvoir améliorer ses outils de recherche grâce à cette coopération avec Stanford et Symantec.

ApacheCertains membres de la communauté Open Source ont accueilli la mesure avec quelques critiques. Ben Laurie, un des responsables de la Fondation Apache, regrette l'implication de sociétés commerciales et de leur technologie propriétaire dans le projet. Selon lui, ces recherches restent encore fermées, puisqu'elles sont menées par les sociétés en question. Laurie aurait préféré que les outils de vérification automatique des codes leur soient directement fournis.

Le professeur Engler admet en effet que le gouvernement paye pour des recherches propriétaires destinées à l'Open Source, mais il reste pragmatique : « C'est bien mieux que ce qu'ils ont maintenant, c'est-à-dire rien du tout. »